WINDOWS VISTA WORKSHOPREEKS (DEEL 11 VAN 12) 


Windows Firewall 


Veiligfer) netwerkverkeer 


In het vorige deel van deze reeks hebben we gezien hoe je vanuit het Vista netwerkcentrum een netwerk kan opzet- 
ten, delen en beheren. Deze keer concentreren we ons op de beveiliging van het netwerkverkeer met behulp van 


Windows Firewall. A TOON VAN DAELE 


( ‚N 
WAT DOEN WE? 


WAARMEE? 


HOELANG? 


MOEILIJKHEID? 


Le je je pc met het internet verbindt, loop 
je automatisch bepaalde risico’s. Daar ben je 
je natuurlijk van bewust, en dus installeer je een 
antivirusprogramma en een antispywaretool. Ver- 
standig, maar onvoldoende! Je hebt ook absoluut 
een agent nodig die al het netwerkverkeer tussen 
je pc en het internet monitort, en ongewenst of 
verdacht verkeer blokkeert. Zo’n verkeersagent 
noemen we een firewall. Tegenwoordig werkt elke 
goede firewall in twee richtingen, en zal hij zowel 
inkomend als uitgaand verkeer controleren. Zo kan 
je niet alleen voorkomen dat hackers of malware 
(zoals wormen) via het internet toegang krijgen 


dl tot je computer, je kan bijvoorbeeld ook verhinde- 
ren dat software in het geniep allerlei informatie uitstuurt. Maar er is 
méér: een slimme firewall ondersteunt ‘stateful-inspection packet filte- 
ring’. Dat komt erop neer dat inkomend verkeer alleen wordt toegelaten 
als dat een antwoord blijkt te zijn op een verzoek dat je pc — je browser 
bijvoorbeeld — eerder heeft uitgestuurd. Andere pakketjes die proberen 
binnen te dringen, worden geblokkeerd. De nieuwe Windows Firewall, 
zoals die in alle Vista-varianten zit ingebouwd, is zo’n slimme tweewegs- 
firewall. Daarbij moeten we wel een kanttekening maken: standaard 
controleert de firewall alleen inkomend verkeer; je zal dus zelf voor de 
nodige configuraties moeten zorgen om ook uitgaand verkeer aan banden 
te leggen (zie stap 5 en volgende). En nog dit: wellicht hangen je pc's 
achter een (NAT-)router.. Ook dan raden we je aan een persoonlijke 
firewall zoals die van Windows Vista op je computer(s) te activeren. Zo’n 
firewall werkt namelijk ook op toepassingsniveau, én kan bovendien 
voorkomen dat besmette pc's uit je thuisnetwerkje elkaar schadelijke 
software doorsturen. 


(1) Je computer 


@D Je firewall 
Je firewall: een muur 
tussen je pc en het in- 
ternet (bron: Microsoft). 


3) Intemet 
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STAP 1 / BASISCONFIGURATIE 


Laten we eerst controleren of de Windows Firewall wel degelijk actief is. 
Ga daarvoor naar het Windows ConFIGuRATIESCHERM, en kies Winpows FIREWALL. 
Het dialoogvenster vertelt je meteen of de firewall is ingeschakeld (zie 
afbeelding 1), en voor welke netwerklocatie (profiel) de instellingen in 
dat dialoogvenster geldig zijn (zie ook stap 5). Blijkt je firewall niet actief, 
klik dan in het linkerpaneel op Winpows FrrEwALL IN- OF UITSCHAKELEN. Geef 
indien gevraagd je toelating voor deze operatie. Op het tabblad ALGEMEEN 
vink je nu INGESCHAKELD (AANBEVOLEN) aan. De optie UrreeschakeLp is alleen 
maar aangewezen als je een andere persoonlijke firewall installeert (zoals 
het gratis ZoneAlarm www.zonelabs.com, of de Comodo Firewall www.perso- 
nalfirewall.comodo.com). De optie ALLE BINNENKOMENDE VERBINDINGEN BLOKKEREN kan 
handig zijn als je snel extra beveiliging wil, bijvoorbeeld als je gebruik 
maakt van een hotspot. Hou er echter rekening mee dat je hiermee alleen 
de uitzonderingen (zie stap 2) uitschakelt en dat ook uitgaand verkeer 
nog altijd mogelijk is. 


dP Windows Firewall 


® 
m 
(9 Windows Frewallin= of Windows Firewall 
uitschakelen Ĳ 
en Windows Firewall helpt bij het beveiligen van uw computer tegen hackers of schadelijke 
Reek software cre via het internet of het netwerk toegang tot uw computer proberen te verkrijgen. 
Firewall toestaan E Í 


4 Uw computer beter beveiligen met Windows Firewall 


Windows Firewall is ingeschakeld. ® insteengen vizigen 
Binnenkornende verbindingen zonder uitzondering worden geblokkeerd. | 
Melding weergeven bij blokkeren van programma: Ja 


Netwerklocatie: Partouher netwerk 


_H 


7 je Windows Firewall wel ingeschakeld? 
STAP 2 / UITZONDERINGEN (1) 


De veiligste firewall is de firewall die geen enkel bitje doorlaat, maar 
dat is uiteraard niet werkbaar. Je zal je firewall dus duidelijk moeten 
maken dat bepaalde toepassingen wél koosjer zijn. Als je de eerste keer 
een toepassing opvraagt die netwerkverkeer wil genereren, duikt in de 
meeste gevallen automatisch een venstertje op dat om je goedkeuring 
vraagt. Alleen als je de toepassing geheel vertrouwt, druk je op de knop 
BLOKKERING OPHEFFEN (zie afbeelding 2). In het andere geval kies je BLiaven 
BLOKKEREN. Geef je inderdaad je fiat, dan wordt er een ‘uitzondering’ in 


CONTROLE OP ALLES WAT BINNENKOMT 


de firewall opgenomen. Die verschijnt dan in het dialoogvenster van de 
firewall, op het tabblad Urrzonperingen. Wil je op je beslissing terugkeren, 
verwijder dan het vinkje naast het bewuste programma. 


br Windows-beveiligingsmelding 


G Sommige functies van dit programma zijn door Windows 
Firewall geblokkeerd 


Binnenkomende netwerkverbindingen voor dit programma worden door Windows Firewall 
geblokkeerd, Indien opgeheven, wordt het programma niet geblokkeerd op alle ‘Particulier’ 


netwerken. 


E) Naam: FolderShare 
Uitgever: Onbekend 
Pad: C:\program files\foldershare\foldershare.exe 


Netwerklocatie: Particulier netwerk 


Wat zijn netwerklocaties? 


Blijven blokkeren | Kal Blokkering opheffen 


Met ‘Blokkering opheffen’ prik je een gaatje in je firewall. 


STAP 3 / UITZONDERINGEN (2) 


Je kan ook op elk moment zelf zo’n uitzondering creëren. Daar zijn 
twee manieren voor (zie afbeelding 3): via PROGRAMMA TOEVOEGEN (waarbij 
je uit de lijst de gewenste toepassing selecteert) en via Poort TOEVOEGEN. 
Geef in dat geval een gepaste naam aan de uitzondering, kies het 
toepasselijke protocol (TCP of UDP) en vul het correcte poortnummer 
in. Zo’n poort kan je zien als een genummerd kanaal (van 1 tot 65535), 


Instellingen, voor Windows Fire 


| Algemeen | Uitzonderingen | Geavanceerd | 


Uitzonderingen bepalen hoe programma's via Windows Firewall communiceren. 
Voeg een programma- of poortuitzondering toe om communicatie via de firewall 
toe te staan. 


Er worden nu instelingen voor de netwerklocatie ‘Particulier’ voor Windows 
Firewall gebruikt. Wat is het risico van het opheffen van een blokkering voor een 
programma? 


| Schakel het selectievakje in als u een uitzondering wilt inschakelen: 


Programma of poort 

[Al Bestands- en printerdeling 

OBITS Peercaching 

Core Networking 

DO Distributed Transaction Coordinator 
Extern beheer 

DExtern beheer van geplande taken 
D Extern beheer van Windows Firewall 
D Extern bureaublad 

DExtern Event Log-beheer 

D Extern servicebeheer 

DExtern volumebeheer he 


( Programma toevoegen… | [poort toevoegen… |} Eigenschappen Verwijderen 


Je kan ook altijd 


zelf bijkomende 
5 e | 7] Melding weergeven als Windows Firewall een nieuw programma blokkeert 
uitzonderingen | 
creëren. ok) (annuleren | roerei 


VISTA-WORKSHOPS 


Nu het nieuwe besturingssysteem van Microsoft in de winkel ligt, zijn we gestart met 
een gloednieuwe 12-delige reeks workshops over Vista. Hieronder vind je alvast een 
overzicht. 


Zet Vista naast XP Bestanden veiligstellen 


PLA MAL : 
De nieuwe interface Computergebruik aan 
uitgepluisd banden 
AGENDA | 7- BEVEILIGING | 


Afspraken en taken plannen Internetbedreigingen buiten! 


UIUUM 


| 1. NETWERKEN 


Foto's beheren & bewerken Thuisnetwerkje opzetten 


11. FIREWAL 


Internetverkeer regelen 


Multimedia op pc én tv 


Ü JV e Un ' ' U 


Films maken en branden Diagnose en oplossingen 


langs waar pc's met elkaar-communiceren. Raadpleeg. de handleiding 
van de software diege als uitzondering wil instellen. Over het algemeen 
is het veiliger een uitzondering te creëren voor een specifiek pro- 
gramma,dan voor een poort. Logisch, want als je een poort selecteert 
kan die door om het even welk programma — en dus ook door malware 
— worden gebruikt. 


STAP 4 / RESTRICTIES 


In beide gevallen kan je via de knop Bereik wiJzieen instellen tot welke 
computers je die uitzondering wil beperken. Standaard is dat Euke comeu- 


Klik op een optie hieronder als u wilt opgeven voor welke computers de blokkering 
van deze poort of dit programma wordt opgeheven. 


Als u een aangepaste lijst wilt opgeven, kunt u een door komma's gescheiden lijst 
met IP-adressen, subnetten of beide opgeven. 


D Elke computer (inclusief de computers op internet) 


@ Alleen dit netwerk (subnet) 


D Aangepaste lijst: 


Voorbeeld: 192.168.114.201,192.168.114.201/255.255.255.0, 


3ffe:ffff:8311:f282:1460:5260:c9b1:fda6 


Bepaal zelf welke computers van je uitzondering mogen profiteren. 
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TER (INCLUSIEF DE COMPUTERS OP INTERNET), maar als je ALLEEN DIT NETWERK (SUBNET) 
aanstipt, geldt dat in principe alleen voor de andere pc's van je net- 
werkje (zie afbeelding 4). Ten slotte kan je via Aangepaste Lijst ook nog 
specifieke computers opgeven. Dat doe je aan de hand van ip-adressen, 
waarbij je de verschillende adressen door een komma van elkaar scheidt. 
Bevestig je keuze met OK. Open ook even het tabblad Geavanceerp in het 
dialoogvenster van de firewall. Beschik je over verschillende netwerkadap- 
ters, dan kan je hier met behulp van vinkjes aangeven welke adapters 
met de firewall beveiligd moeten worden. Ook handig is de knop Sran- 
DAARDINSTELLINGEN: heb je te veel aan de firewall-opties geknoeid, dan vol- 
staat een druk op die knop om je naar de originele instellingen terug te 
brengen. Hou er wel rekening mee dat je dan wellicht nieuwe uitzonde- 
ringen zal moeten creëren. 


STAP 5 / GEAVANCEERDE CONFIGURATIE 


Het is je wellicht niet ontgaan dat we de moeilijkheidsgraad met **(***) 
hebben aangeduid. Die extra sterretjes zijn voor de rest van deze work- 
shop bedoeld, waar we krachtiger mogelijkheden van de Windows Firewall 
zullen aanboren. Dat doen we aan de hand van de Windows Firewall met 
geavanceerde beveiliging. Die start je op door de opdracht ‘wf.msc’ in het 
startmenu van Vista in te tikken. Je krijgt nu voor de drie mogelijke 
netwerklocaties (profielen) — DomeinprorreL, PRIvÉPROFIEL En OPENBAAR PROFIEL 
— een overzicht van de standaardinstellingen voor inkomend en uitgaand 
verkeer (zie ook deel 10 van deze reeks). Je leest hier ook af welk profiel 
momenteel actief is. Je zal merken dat standaard alle uitgaande verbin- 
dingen die niet met een regel overeenkomen, zijn toegestaan. Wil je dat 
anders, klik dan op ErGENSCHAPPEN vAN Winpows FirewaLL. Open het tabblad 
van het beoogde profiel, en kies BLokkeren bij Urreaanpe (zie afbeelding 5). 
Hou er rekening mee dat geen enkel programma nu nog gegevens naar 
het internet kan versturen, tenzij je daar via een nieuwe ‘regel’ een 
extra gaatje voor prikt (zie stap 7). 


WE Roges voor Binnenken 
EN Regels voor uitgaande v 
Mo Bevengegregels voor 
® Controle 


© vanden Fene woenhekeid 
© Banentomende veradnoen de nat mat een reoel oveeverkomen 
OD Uwmende verbndnsen Ge ran met een vezel overeenkomen zen 1 


Standaard laat de firewall uitgaande verbindingen ongemoeid. 


STAP 6 / REGELOVERZICHT 


Zo’n regel doet niks anders dan aangeven hoe de firewall met een bepaald 
netwerkpakketje moet omgaan — en één of meer regels samen vormen 
dan een uitzondering (zie stap 2 en 3). Wil je de al bestaande regels 
bekijken, klik dan in het linkerpaneel op REGELS vOOR BINNENKOMENDE / uIT- 
GAANDE VERBINDINGEN. De bijhorende regels verschijnen nu in het middenpa- 
neel: een groen vinkje voor actieve regels die verbindingen toestaan, een 
rood kruisje voor actieve regels die verbindingen blokkeren, en een grijs 
voor gedefinieerde, maar niet geactiveerde regels. Te veel regels? Selec- 
teer dan een geschikte filteroptie in het rechterpaneel (zie afbeelding 
6). Via de optie Autre rurers wissen haal je zo’n filter weer weg. In de vol- 
gende stap tonen we je hoe je zelf een regel kan creëren. 


O nrecsa Center Eatencers ATSP-In} 

O mesa Center Euzenders (55DP.In) 

Oven 5 ONMIDRM-NO/RTP/RTCP-In) 
MNR-UDP 


MN Bevelgingsregels voor verbindingen 
8, Contrcie 


Overwerk catectecen OB-Name 
Onermerr catecacen Pub WSD. 
O verwerk oatecreren (5SOP-1n) 
Onerwerk aatacreren (UPrP.Inj __ Mep 

O roenmert aarecracen ONSD Evenas-In 

O nerwerk cetecteren (WSD EvenssSecure-In 

O nerwerr cetecreren WSD 

Dop wengens Motie gebaseerde apparanrverendng: netwerk — 


Regel vnschakeien 
Verwijderen | 


Egerscracoen p, 


met caloogverster met egenichacoen van de nrcrge leieche coenen 


Windows Firewall heeft een hele reeks standaardregels aan boord. 


STAP 7 / REGEL: CREATIE 


Bij wijze van voorbeeld creëren we een regel waarbij de firewall toelaat 
dat ons systeem op een ping van een ander toestel uit ons netwerk 
reageert (zo’n ping is vaak handig om uit te vissen of de computer wel 
via het netwerk te bereiken is). Klik in het linkerpaneel op ReeeLs voor 
BINNENKOMENDE VERBINDINGEN. Ga naar het menu Actie en kies NiEuwE REGEL. 
Vink Aancerast aan, druk op Vorcenpe en kies ALLE PROGRAMMA's. Druk weer 
op Vorenpe. Bij Type prorocou selecteer je ICMPv4, waarna je op de knop 
Aanpassen drukt. Selecteer Specirieke ICMP-tvpen en kies EcHoAANVRAAG. 
Bevestig met OK en met Vorcenpe. Druk op Aanpassen, kies DEzE INTERFACE- 
TyPEN en zet (bijvoorbeeld) een vinkje bij LAN. Druk op OK en op Vor- 
GENDE. Zorg dat DE VERBINDING TOESTAAN is aangestipt, en bevestig alweer 
met Vorenpe. Selecteer Privé en druk nog een keer op Vorsenpe. Tik een 
geschikte naam in — bijvoorbeeld: Echoaanvraaa LAN OK — en sluit af met 
Vorrooren. De regel is toegevoegd, en geactiveerd. Een testje? Tik van op 
een andere pc in je netwerk pina [tp-apres TEsTcOMPUTER] in, en je zou nu 
vier antwoorden moeten krijgen (zie afbeelding 7). 

Je merkt het: je moet behoorlijk wat kaas van netwerkprotocollen heb- 
ben gegeten om hier vlotjes mee om te springen, maar je weet nu toch 
al hoe je met deze Wizard ‘Nieuwe regel’ aan de slag kan. 


ene l W:soping 192.168.0.7 
namen comte | Protect en coaten | Bent, | Gemmceed. pe 


aar 192.160.0.7 met 32 bytes aan gever 


4 me TT 
4 me TT 


nn 4, verteren «0 


n van dée heverking in nillissconden: 
Gemiddelde « ven 


Geoptimaliseerde firewallregels: niet van de poes! 


STAP 8 / CONTROLE 


Je hebt je firewall geconfigureerd zoals het hoort, denk je? Hoe veilig 
een en ander is, wil je natuurlijk wel eens uittesten, en dat kan als volgt. 
Ga naar de opdrachtprompt en tik hier netstat —ano in. Je krijgt nu een 
overzicht van de actieve netwerkverbindingen. Maar welke programma’s 
zitten achter die verbindingen? Daar kan de PID (process identifier’) uit 
de laatste kolom je bij helpen. Noteer deze waarde, en roep daarna het 
Windows Taakbeheer op via Crru+Suirr+Esc. Speur op het tabblad Proces- 
sEN naar de genoteerde waarde in de kolom Proces-ip. Gevonden? Dan heb 
je ook meteen het bijhorende programma te pakken (zie afbeelding 8). 
Zitten er toepassingen tussen die je liever géén netwerkverbinding gunt? 
Dan zit er wellicht weinig anders op dan je firewall nog wat verder bij 
te spijkeren… 
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veilig internetplezier gewenst! « 


Ook online kan je terecht voor informatie en hulp om te controleren hoe VAKTAAL 

veilig je firewall is ingesteld. Zo vind je op www.iana.org/assignments/port- 

numbers en op www.iss.net/security_center/advice/Exploits/Ports lijsten met EXPLOIT: Fouten in de software en het daarbij horende misbruik. Een hacker kan bijvoorbeeld 
poortnummers die voor allerlei (bekende) toepassingen worden gebruikt. van zo'n fout gebruik maken om je computer binnen te geraken. 


Deze laatste site laat je toe een poortnummer aan te klikken: je krijgt 
dan meer informatie over bekende exploits op die poort. Ook die infor- 
matie kan nuttig zijn om je firewall beter af te stemmen. Ten slotte kan 


PING: Een hulpprogramma voor computernetwerken dat wordt gebruikt om de reactietijd 
tussen twee computers in een netwerk te meten. 
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